Архивы: по дате | по разделам | по авторам

Бороться и искать

АрхивКолонка Золотова
автор : Евгений Золотов   25.02.2004

Эпидемия принципиально нового сетевого червя Bizex, разразившаяся вчера в системе ICQ, есть первый тревожный звоночек, обещающий массу проблем рядовым компьютерным пользователям.

К сообщениям об обнаружении очередной порции "дыр" в операционной системе и прикладном софте от Microsoft мы все уже настолько привыкли, что внимания на новое сообщение по данной теме от самой ли компании, от её ли партнёров или конкурентов не обращаем. Конечно, бывают исключения вроде открытой на прошлой неделе уязвимости в IE 5, найти которую удалось путём анализа исходников Windows, но в общем и целом, рутинный этот процесс "брешь в защите - патч, уязвимость - патч, и т.д." настолько уже намозолил глаза и уши, что ажиотажа вокруг новых "дыр", наблюдавшегося ещё год назад, сегодня нет и в помине. Однако нужно понимать, что причин для успокоения тоже не прибавилось. И стремительный рост числа открытых уязвимостей в популярном системном софте при прежнем отсутствии у рядовых юзеров желания заниматься установкой заплаток рано или поздно аукнется. Хакеры и вирусописатели обязательно воспользуются имеющейся информацией для достижения своих грязных целей. И если жертвами такой атаки станут десятки тысяч человек, считайте, что повезло. И ведь случилось! Не далее как вчера прозвенел именно такой тревожный звоночек...

24 февраля в системе ICQ наблюдался всплеск необычной активности: тысячи пользователей пересылали друг другу одну и ту же ссылку на лицевую страничку сайта www.jokeworld.biz. Возможно, прибегала такая ссылка от друзей и вам, и может быть вы даже сподобились заглянуть на сайт и убедиться, что ничего, кроме собственно заглавной страницы, на нём нет. После этого визита ваш ICQ-пейджер мог потерять связь, но соотносить посещение сайта и обрыв связи вам, скорее всего, даже в голову не пришло. Между тем, если в нарисованной картине вы узнали себя, бейте тревогу, ибо цепочка внешне безопасных действий и событий означает, что ваш компьютер уже инфицирован вирусом Bizex.

Об эпидемии этого принципиально нового червя вчера сообщила "Лаборатория Касперского". Её же специалистам мы обязаны и тем, что период репликации вируса продлился всего четыре часа: за это время Bizex успел заразить около 50 тысяч машин. Очень может быть, что сутки спустя счёт жертвам перевалил бы за миллионную отметку.

Уникальность Bizex заключается в использовании им для своего распространения среды ICQ и пары открытых около года назад уязвимостей в веб-браузере Internet Explorer и операционной системе Windows: в комплексе это позволяет ему инфицировать компьютер совершенно незаметно для пользователя. Начинается всё со ссылки, которая попадает к потенциальной жертве в сообщении ICQ. Поскольку название сайта особенно англоязычным пользователям кажется многообещающим (jokeworld - мир шуток), нет ничего странного в том, что многие кликают по ссылке, заставляя веб-браузер открыть её. Браузер, в роли которого чаще всего выступает IE, демонстрирует созданную для отвода глаз лицевую страницу сайта, а тем временем, вирус незаметно проникает на компьютер. В веб-страничку встроен код, эксплуатирующий вышеупомянутые системные уязвимости. Он заставляет Internet Explorer скачать на машину файл с телом вируса и запустить его. Всё. С этого момента Bizex почти ничем не отличается от других вирусов: устанавливая себя в системный каталог, начиная следить за пользователем, Bizex перехватывает данные, передаваемые по защищённому каналу HTTPS, часто используемому для работы с финансовыми онлайновыми сервисами, а также собирает сведения о пользовательских аккаунтах в электронных платёжных системах вроде E-gold, переправляя информацию на сервер www.ustrading.info. Впрочем, ещё одно отличие всё же есть. Bizex устанавливает в Windows несколько системных библиотек, которые использует для временного отключения пейджера ICQ, самостоятельного доступа к контакт-листу пользователя заражённой машины и рассылки по содержащимся в нём адресам уже знакомого вам линка jokeworld.biz.

В настоящий момент Bizex не опасен: оба сервера по просьбе вирусологов удалены из Сети. Но важно по достоинству оценить значимость этой скромной эпидемии. Очевидно, что мы вступили в ту фазу компьютерной эволюции, когда каждая мелочь может стать причиной фатального сбоя. Сегодня уже недостаточно призывов к осторожности при запуске неизвестных программ, чтении писем от незнакомцев и открытии почтовых аттачей: даже обычная ссылка способна уничтожить настроенную систему. На войне как на войне - новые угрозы требуют адекватного реагирования, но есть ли (и возможна ли вообще) защита для Windows-машины, способная эффективно противостоять столь пёстрому арсеналу средств нападения? Подключайтесь к дискуссии, обсудим!

© ООО "Компьютерра-Онлайн", 1997-2021
При цитировании и использовании любых материалов ссылка на "Компьютерру" обязательна.